2018-1204: Nextcloud Server: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen
Historie:
- Version 1 (2018-06-21 19:38)
- Neues Advisory
- Version 2 (2018-07-12 14:08)
- Für openSUSE Leap 42.3 und 15.0 stehen Sicherheitsupdates für 'nextcloud' bereit, mit denen die Software auf die aktuelle Version 13.0.4 aktualisiert wird und die Schwachstellen CVE-2018-3761 und CVE-2018-3762 behoben werden. Die hier ebenfalls genannten Schwachstellen CVE-2018-3763 und CVE-2018-3764 können unabhängig davon durch Updates der betroffenen Apps Calendar und Contacts behoben werden.
Betroffene Software
Netzwerk
Server
Betroffene Plattformen
Linux
Beschreibung:
Zwei Schwachstellen in Nextcloud Server ermöglichen einem entfernten, einfach authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen bzw. das Ausspähen von Informationen. Zwei weitere Schwachstellen in den Nextcloud Apps 'Calendar' und 'Contacts' ermöglichen einem Angreifer, welcher über Administrator- oder Gruppenadministratorrechte der Nextcloud-Instanz verfügt, die Ausführung von permanenten Cross-Site-Scripting (XSS)-Angriffen.
Der Hersteller stellt die Nextcloud Server Versionen 12.0.8 und 13.0.3 zur Behebung der Schwachstellen CVE-2018-3761 und CVE-2018-3762 zur Verfügung. Zur Behebung der Schwachstellen CVE-2018-3763 und CVE-2018-3764 stehen Sicherheitsupdates für die Apps 'Contacts' auf Version 2.1.2 und 'Calendar' auf Version 1.6.1 bzw. 1.5.8 zur Verfügung.
Schwachstellen:
CVE-2018-3761
Schwachstelle in Nextcloud Server ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-3762
Schwachstelle in Nextcloud Server ermöglicht Ausspähen von InformationenCVE-2018-3763
Schwachstelle in Nextcloud Calendar ermöglicht permanenten Cross-Site-Scripting-AngriffCVE-2018-3764
Schwachstelle in Nextcloud Contacts ermöglicht permamenten Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.